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Beschreibung 

Verfahren zum Ver- und Entschlusseln von Daten durch ver- 
schiedene Nutzer 

5 

Die Erfindung betrifft ein Verfahren zum Ver- und Entschlus- 
seln von Daten durch verschiedene Nutzer. Die Erfindung be- 
trifft aufierdem eine Datenverarbeitungseinrichtung zur Durch- 
fiihrung des Verfahrens sowie ein Speichermedium, auf dem In- 
10 formation, z.B. ein Computer-Programm, zur Ausftihrung des 
Verfahrens gespeichert ist. 

) 

tj&tj Die vermehrte Nutzung elektronischer Daten und Kommunikati- 
onswege bringt standig wachsende Anforderungen an den Schutz 

15 der Daten vor unerwiinschten Datenzugrif f en, gleichzeitig aber 
auch an die moglichst einfache, bequeme und unaufwandige Zu- 
greifbarkeit der Daten mit sich. Insbesondere aufgrund der 
zunehmenden gegenseitigen Vernetzung und der haufig groften 
Anzahl verschiedener Nutzer, die physikalischen Zugang zu be- 

20 stimmten Daten erlangen konnen, sind wirksame elektronische 
oder sof tware-basierte Kontroll- und Schutzmechanismen uner- 
lasslich geworden. 

Der effektive Schutz von vielfaltig zugreifbaren Daten vor 
(25 unberechtigtem Zugriff spielt eine bedeutende Rolle. Eine 

.'ii Vielzahl von Verschlusselungs-Mechanismen unter Verwendung 

symiaetrischer oder asymmetrischer Datenschlussel ist bekannt, 
von denen die auf Basis asymmetrischer Schlussel-Systeme ar- 
beitenden Verschlusselungs-Programme wie PGP zu den sichers- 

30 ten und am bequemsten handhabbaren gehoren durften und daher 
die weiteste Verbreitung gefunden haben. Sowohl syinmetrische 
als auch asymmetrische Schlusselsysteme basieren auf der Ver- 
wendung zumindest eines individuellen Datenschlussels, der 
nur dem berechtigten Nutzer zur Ver- und Entschlusselung sei- 

35 ner Daten zuganglich sein darf . Der Zugang zu diesem indivi- 
duellen Schltissel ist vor nicht berechtigten Nutzern mog- 
lichst effektiv zu schiitzen. 
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Der Schutz elektronischer Daten vor unberechtigten Zugriffen 
spielt bei personenbezogenen Daten wie Adresslisten oder Kun- 
dendaten, bei Daten im Finanzwesen und insbesondere bei Daten 
im Gesundheitswesen eine besonders wichtige Rolle. Im Gesund- 
heitswesen, wo strengste Anf orderungen an die Datensicherheit 
gestellt werden, fordern Datenschutzbestimmungen, dass jeder 
Nutzer von Daten eindeutig identif iziert und authentif iziert 
wird. Authentif izierung bedeutet, dass die Authentif izierung 
eines Nutzer in Abhangigkeit von dessen Identif izierung zuer- 
kannt wird und nur authentif izierte Nutzer Zugriff auf die 
fraglichen Daten erhalten konnen. Die Funktion der Authenti- 
fizierung wird im Gesundheitswesen auch ^access control"" ge- 
nannt . 

Zusatzlich zur Authentif izierung wird in sicherheitskriti- 
schen Datenanwendungen, z.B. in der Telemedizin oder in Home- 
Care-Systemen, bei jeglicher Kommunikation iiber grundsat zlich 
unsichere Kommunikationskanale und bei jeder Speicherung si- 
cherheitskritischer Daten eine Verschliisselung gefordert. Bei 
der Nutzung verschlusselter Daten kann es vorkommen, dass 
mehrere unterschiedliche Nutzer die Moglichkeit zum Daten- 
zugriff haben sollen. Dies kann z.B, bei der Verwaltung von 
Kundendaten durch die Angestellten einer Bank der Fall sein, 
bei Personaldaten in Personalabteilungen, bei der gemeinsamen 
Nutzung von Daten in Entwicklungs-Teams oder bei Daten im Ge- 
sundheitswesen, die mehreren behandelnden Arzten oder einem 
bestimmten Kreis medizinischen Fachpersonals zuganglich sein 
sollten. Hier besteht das Problem, dass Daten, die von einem 
bestimmten Nutzer mit seinem individuellen Datenschliissel 
verschliisselt wurden, - durch andere Nutzer mit anderen indivi- 
duellen Datenschlusseln nicht entschlusselt werden konnen. 

Urn die gemeinsam zu nutzenden verschllisselten Daten trotzdem 
bestimmten Nutzerkreisen zuganglich zu machen, ist es haufig 
ublich, den hierfiir er f orderlichen Datenschliissel alien Nut- 
zern mitzuteilen. Die Verteilung des Schlussels an den Nut- 
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zerkreis ftihrt zu erheblichen Problemen fur die Datensicher- 
heit, da der Schliissel einer Vielzahl von beteiligten Perso- 
nen mitgeteilt werden muss, und da es aufgrund der schlechten 
Memorierbarkeit von sicherheitstechnisch wirksamen Daten- 
schlusseln nicht unublich 1st, dass diese auf ungeeignete 
Weise aufbewahrt werden, z*B. auf Nptizzetteln in Schreib- 
tischschubladen. Die zentrale Verwaltung der Schlussel macht 
aufierdem das Flihren von Schlusselbiichern, sogenannten Code- 
Buchern, er f orderlich, deren Ausspionierbarkeit einen weite- 
ren Unsicherheitsf aktor darstellt. 

Die Aufgabe- der Erfindung besteht darin, die sichere Handha- 
bung von Datenschlusseln fur mehrere, unterschiedliche Nutzer 
zur Nutzung gemeinsamer verschlusselter Daten zu vereinfa- 
chen . 

Die Erfindung lost diese Aufgabe durch ein Verfahren gemafi 
dem ersten Patentanspruch, durch eine Vorrichtung mit den 
Merkmalen des achten Patentanspruchs und durch ein Speicher- 
medium mit Information, z.B. einem Computer- Programm, zur 
Ausfuhrung des Verfahrens gemaft dem vierzehnten Patentan- 
spruch. 

Die Erfindung beruht auf der Erkenntnis, dass die Fahigkeit 
zur Ver- und Entschliisselung gemeinsam genutzter Daten nicht 
personenbezogen, sondern gruppenbezogen ist. Jeder Nutzer der 
gemeinsam zu nutzenden verschlusselten Daten wird damit nicht 
mehr als Person, sondern entsprechend seiner Zugehorigkeit zu 
einer Gruppe identif iziert . 

Ein Grundgedanke der Erfindung besteht darin, Personen, die 
verschliisselte Daten gemeinsam nutzen, keinen nutzer- 
individuellen Datenschlussel zum Zugriff auf die Daten zuzu- 
teilen. Stattdessen wird solchen Personen in Abhangigkeit von 
ihrer Zugehorigkeit zu einer Nutzer-Gruppe ein gemeinsamer 
Nutzer-Gruppen-Datenschlussel zugeteilt. Alle Mitglieder der 
Nutzer-Gruppe konnen unter Verwendung des Nutzer-Gruppen- 
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Datenschlussel gemeinsam zu nutzende Daten ver- sowie ent- 
schlusseln. Der Datenschlussel wird automatisch zugeteilt, 
den Nutzern aber nicht mitgeteilt, d.h. die Nutzer erhalten 
keine Kenntnis von der tatsachlichen Beschaf f enheit des Da- 
5 tenschliissels . Demzufolge mussen sie sich den Datenschlussel 
weder merken, noch konnen sie ihn kommunizieren. Dadurch wer 
den wesentliche Unsicherheitsf aktoren herkommlicher Schliis- 
sel-Systeme unterbunden . 

10 AuIJerdem ergibt sich dadurch der weitere Vorteil, dass bei 

Anderungen der personellen Zusammensetzung einer Nutzer- 
^ Gruppe keine Anderungen des Datenschlussels erforderlich 

sind. Insbesondere ist es nicht notwendig, einen neuen Daten 
schliissel einzufuhren, wenn einzelne Personen die Nutzer- 

15 Gruppe verlassen, da diese Personen keine Kenntnis von der 
Beschaf f enheit des Datenschlussels haben, die sie nach Aus- 
scheiden aus der Gruppe in irgendeiner Weise missbrauchen 
konnten. Stattdessen erhalten sie beim Versuch, auf Daten zu 
zugreifen, einfach keinen gultigen Datenschlussel mehr zuge- 

20 teilt. 

Die Verwendung eines automatisch zugeteilten Nutzer-Gruppen- 
Datenschliissels ermoglicht es aufierdem, den Datenschlussel 
beliebig komplex zu gestalten und beliebig haufig zu wech- 
f ^5 seln. Es obliegt dem Verschlusselungs-System, die verschliis- 
/ ^ selten Daten-Bestande automatisch umzuschlusseln, d.h. unter 
Verwendung des alten Datenschlussels zu entschliisseln, unter 
Verwendung des neuen Datenschlussels wieder zu verschliisseln 
und den Nutzern zeitlich auf die Umschltisselung abgestimmt 
3 0 den neuen Nutzer-Gruppen-Datenschlussel zuzuteilen. Dadurch 
entfallt jeder Aufwand beim Kommunizieren des neuen Daten- 
schlussels und beim Abstimmen des Zeitpunkts von dessen Ein- 
fiihrung, wodurch weitere Gefahren fur die Sicherheit des 
Verschlusselungs-Systems unterbunden werden. 

35 

Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand 
der abhangigen Patentanspriiche . 
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Nachfolgend werden Ausf uhrungsbeispiele der Erfindung anhand 
von Figuren naher erlautert. Es zeigen: 

FIG 1 Flussdiagramm mit den zur Ausfuhrung der Erfindung 

erf order lichen Ver f ahrensschritten, 

FIG 2 zur Ausfuhrung der Erfindung geeignete Systemarchi- 

tektur . 



Figur 1 zeigt die Verf ahrensschritte, die zur Ausfuhrung der 
k Erfindung erforderlich sind. Das Verfahren startet in Schritt 

.WFO 1 damit, dass ein Datenzugriff erfolgen soil, der den Einsatz 
eines Kryptograf ie-Programms zur Ver- oder Entschlusselung 
15 von Daten erforderlich macht . In Schritt 3 wird das Krypto- 
graf ie-Programm gestartet. Je nach Anwendung kann der Start 
des Kryptograf ie-Programms vom Nutzer selbst oder aus einem 
Anwendungs-Programm heraus automatisch gestartet werden. 

20 In Schritt 5 erfolgt eine Sicherheitsabf rage, mittels derer 
der Nutzer als real existierende Person identif iziert werden 
soli. Dazu werden vom Nutzer personen-individuelle Daten er- 
fragt, die alien Anf orderungen an die Datensicherheit geniigen 
mussen. Vorzugsweise erfolgt die Sicherheitsabf rage durch ei- 
,^25 ne biometrische Erfassung von charakteristischen und mog- 
f lichst tauschungssicheren Daten wie Fingerabdruck oder Ges- 

talt der Iris. Daneben besteht die Moglichkeit, dass sich der 
Nutzer durch eine elektronische Chipkarte oder durch einen 
elektronischen oder mechanischen Schliissel ausweisen kann. 

30 

In Schritt 7 greift das Kryptograf ie-Programm auf eine Nut- 
zer-Datenbank zu. In der Nutzer-Datenbank sind Inf ormationen 
abgelegt, mittels derer der Nutzer unter Verwendung der Da- 
ten, die vorher in der Sicherheitsabf rage in Schritt 5 ermit- 
35 telt wurden, identif iziert werden kann. 
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In Schritt 9 ermittelt das Kryptograf ie-Programm auf Basis 
cier Daten aus der Sicherheitsabf rage und der Daten aus der 
Abfrage der Nutzer-Datenbank die Identitat des Nutzers. Der 
Grad der Tauschungssicherheit bei der Ermittlung der Nutzer- 
5 Identitat hangt dabei im wesentlichen von der Tauschungssi- 
cherheit der Sicherheitsabf rage in Schritt 5 sowie der Daten- 
sicherheit der Nutzer-Datenbank ab . 

In Schritt 11 fragt das Kryptograf ie-Programm eine Nutzer- 
10 Gruppen-Datenbank ab . Diese enthalt Daten, die es erlauben, 
den Nutzer anhand seiner vorangehend ermittelten Nutzer- 
•a Identitat einer Nutzer-Gruppe zuzuordnen. Die Nut zer-Gruppen- 

VW 1 ) Datenbank enthalt also Inf ormationen uber Gruppen von gleich- 
berechtigten Nutzern. Solche Gruppen konnen z.B. Praxis-Teams 
15 aus medizinischem Fachpersonal sein, Mitglieder von Finanzin- 
stituten, Mitarbeiter von Personalabteilungen oder For- 
schungs-Teams . Allen diesen Gruppen ist gemein, dass sie mit 
den selben personen- oder obj ektspezif ischen, sicherheitskri- 
tischen Daten arbeiten, die zwar alien Team-Mitgliedern zu- 
20 ganglich sein mussen, die jedoch keinesfalls anderweitig zu- 
greifbar sein durfen. 

Die Gruppen-Zugehorigkeit kann sich entweder ob j ektbezogen 
ergeben, d.h. aus dem Bediirfnis bestimmter Nutzer, mit einem 
bestimmten Datenbestand arbeiten zu konnen, oder subjektbezo- 
f gen, d.h. aus der hierarchischen Berechtigung bzw. Vertrau- 

lichkeits-Einstuf ung des jeweiligen Nutzer, auf Daten eines 
bestimmten Sicherheits-Levels aufgrund der Stellung im Be- 
trieb grundsat zlich zugreifen zu durfen. AuJierdem kann ein 
30 Nutzer mehreren Nutzer-Gruppen angehoren, die z.B. mehrere 

Praxis-Teams reprasentieren, in denen der Nutzer gleichzeitig 
mitarbeitet. In solchen Fallen hat der Nutzer automatisch 
Zugriff auf verschiedene, unterschiedliche Datenbestande . 

35 In Schritt 15 fragt das Kryptograf ie-Programm eine Daten- 

schllissel-Datenbank ab. Die Datenschliissel-Datenbank enthalt 
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Inf ormationen, die die Zuteilung bestimmter Datenschlussel zu 
bestimmten Nutzern oder Nutzer-Gruppen ermoglichen. 

In Schritt 17 ermittelt das Kryptograf ie-Programm aus der zu- 
vor ermittelten Nut zer-Gruppe und den Daten der Datenschlus- 
sel-Datenbank den oder die zuzuteilenden Datenschlussel. 

In Schritt 19 teilt das Kryptograf ie-Programm dem jeweiligen 
Nutzer seinen oder seine Datenschlussel zu. Dieser Vorgang 
verlauft fur den Nutzer uneinsehbar, da das Kryptograf ie- 
Programm den oder die ermittelten Datenschlussel unmittelbar 
zur Ver- oder Entschliisselung von Anwendungs-Daten verwendet. 
Insbesondere erhalt der Nutzer keine Information liber die Be- 
schaffenheit der zugeteilten Datenschlussel. Die Zuteilung 
eines oder mehrerer Datenschlussel erfolgt also im Ergebnis 
der Sicherheitsabf rage automatisch und fur den Nutzer unbe- 
merkt . 

In Schritt 21 fuhrt das Kryptograf ie-Programm die angeforder- 
te kryptograf ische Operation durch, es ver- oder entschlus- 
selt also Daten zur Benutzung durch den Nutzer oder durch ein 
anderes, vom Nutzer gestartetes Anwendungsprogramm. In 
Schritt 23 ist der komplette Kryptograf ie-Vorgang beendet und 
der Nutzer wird wieder vom Verschlusselungs-System abgemel- 
det . 

Das Verfahren zur Ausfuhrung der Erfindung wurde auf Basis 
der Verwendung von drei unterschiedlichen Datenbanken be- 
schrieben, einer Nut zer-Datenbank, einer Nutzer-Gruppen- 
Datenbank und einer Datenschliissel-Datenbank . Die drei Daten- 
banken reprasentieren die logischen Zuordnungen von Informa- 
tionen, die im Ablauf des Verschlusselungs-Verf ahrens geta- 
tigt werden mussen. Zum ersten muss der Nutzer im Ergebnis 
der Sicherheitsabf rage identif iziert werden, zum zweiten muss 
der identif izierte Nutzer einer Nutzer-Gruppe zugeordnet wer- 
den und zum dritten muss der zu dieser Nutzer-Gruppe gehorige 
Datenschlussel ermittelt werden. 
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Die Verwendung dreier Datenbanken verleiht dem Verschliisse- 
lungs-System einen modularen Aufbau mit grofltmoglicher Flexi- 
bility. In jeder der drei Datenbanken konnen jederzeit unab- 
5 hangig von den anderen beiden Datenbanken Anderungen vorge- 
nommen werden. In der Nutzer-Datenbank konnen die zur Identi- 
fikation des Nutzers verwendeten, sicherheitskritischen In- 
formationen regelmaftig geandert werden. In der Nutzer- 
Gruppen-Datenbank konnen Anderungen der Gruppen, also der zur 

10 geme ins amen Nutzung von Datenbestanden vorgesehenen Personen, 
vorgenommen werden, die tatsachliche Anderungen der Zugeho- 
rigkeit einzelner Personen zu Nut zer-Teams wiederspiegeln . In 
der Datenschlussel-Datenbank konnen regelmaliig Anderungen der 
Datenschlussel vorgenommen werden, um die Sicherheit des Sys- 

15 terns zu erhohen. Damit verbunden ist jeweils das Umschlusseln 
des Datenbestandes erf orderlich, d.h. das Entschlusseln mit 
dem alten und Verschlusseln mit dem neu einzuf uhrenden Daten- 
schlussel . 

20 Obwohl der modulare Aufbau mit drei Datenbanken die tatsach- 
lichen logischen Zuordnungen korrekt reprasentiert , ist es 
selbstverstandlich moglich, stattdessen lediglich zwei oder 
auch nur ein Datenbanksystem zu verwenden. 

.^.5 In Figur 2 ist eine elektronische Datenverarbeitungseinrich- 
f ' tung 31 dargestellt, auf der das Verfahren zur Ausfuhrung der 

Erfindung ausgefuhrt werden kann. Die Datenverarbeitungsein- 
richtung 31 weist eine Tastatur 33 oder ein sonstiges Einga- 
begerat sowie einen Bildschirm 35 auf. Je nach Art der Anwen- 

30 dung konnen auch akustische Ein- und Ausgangssignale verar- 

beitet werden. Art und Umfang der Ein- und Ausgabegerate sind 
fur die Ausfuhrung der Erfindung nicht von Belang. Sie hat 
Zugriff auf einen Anwendungs-Datenspeicher 37, der der Spei- 
cherung vorzugsweise verschliisselter Anwendungs-Daten dient. 

35 Bei der elektronischen Datenverarbeitungseinrichtung kann es 
sich sowohl um einen medizinischen Arbeitsplatz, z.B. eine 
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sogenannte Modalitat, als auch um einen beliebigen anderen 
Bildschirmarbeitsplatz, z.B. ein Bankterminal, handeln. 

Die Datenverarbeitungseinrichtung 31 ist mit einem Sicher- 
5 heitsabf rage-Mittel 39 verbunden, das der Ermittlung von Da- 
ten zur Identif ikation des jeweiligen Nutzers dient. Das Si- 
cherheitsabf rage-Mittel 39 kann in einem Chipkartenleser be- 
stehen, der eine Nut zer-individuelle Chipkarte ausliest. Es 
kann auch ein mechanisches oder elektronisches Schloss sein, 

10 das einen Nut zer-individuellen Schlussel erfordert. Nicht zu- 
letzt kann es ein Sensor zur Ermittlung biometrischer Daten 
/. des Nutzers sein, die beispielsweise die Gestalt von dessen 

™P' Iris, dessen Fingerabdrlicke oder dessen Sprach- 

Frequenzspektrum misst. Die Verwendung biometrischer Daten im 

15 Rahmen der Sicherheitsabf rage weist den Vorteil auf, dass 

keinerlei Schlussel oder Karte verwendet werden muss, die der 
Nutzer verlieren oder die ihm entwendet werden konnten. Dar- 
uber hinaus ist die Tauschungssicherheit biometrischer Daten 
hoher einzuschat zen als die von sonstigen Schlusselsystemen . 

20 

Die Datenverarbeitungseinrichtung 31 hat weiter Zugriff auf 
einen Nutzer-Datenspeicher 41, der Inf ormationen zur Identi- 
fikation von Nutzern anhand der durch die Sicherheitsabf rage-* 
Mittel 39 ermittelten Daten enthalt. Diese Daten ermoglichen 

/^jp5 es dem System, den jeweiligen Nutzer als real existierende 

i Person zu identif izieren . 

Die Datenverarbeitungseinrichtung 31 hat aufierdem Zugriff auf 
einen Nutzer-Gruppen-Datenspeicher 43, der Daten enthalt, an- 
30 hand derer Zuordnungen zwischen Nutzern und Nutzer-Gruppen 
festgestellt werden konnen. Durch Abfrage dieser Daten kann 
das System feststellen, zu welcher Nut zer-Gruppe oder zu wel- 
chen Nutzer-Gruppen ein zuvor identif izierter Nutzer gehort. 

35 Die Datenverarbeitungseinrichtung 31 hat aufierdem Zugriff auf 
einen Datenschlussel-Datenspeicher 45, der Daten enthalt, an- 
hand derer Zuteilungen von Datenschlusseln zu Nutzern und 
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Nutzer-Gruppen aufgefunden werden konnen. Der Datenschltissel- 
Datenspeicher enthalt of f ensichtlich die sicherheitskri- 
tischsten Inf ormationen des Systems insofern, als er alle Da- 
tenschliissel enthalt, anhand derer Daten im Anwendungs- 
5 Datenspeicher 37 entschlusselt werden konnen. 

Fur den Datenschliissel-Datenspeicher 45 gelten besondere Si- 
cherheitsanf orderungen, die eine entfernt angeordnete, zent- 
rale Aufstellung dieses Datenspeichers sinnvoll machen kon- 

10 nen. Zu diesem Zweck greift die Datenverarbeitungseinrichtung 
31 auf den Datenschliissel-Datenspeicher 45 uber ein Daten- 
^ f ernverbindungs-Mittel 47 zu. Die entfernte Anbringung des 

GP*' Datenschlussel-Datenspeichers 45 ermoglicht zum einen deren 

Trennung von der Datenverarbeitungseinrichtung 31 und dadurch 

15 die Trennung von moglichen weiteren Datenverarbeitungsein- 

richtungen, die mit der Datenverarbeitungseinrichtung 31 ver- 
netzt sein konnen. Zum anderen ermoglicht sie die Einrichtung 
besonders strenger Sicherheitsvorkehrungen speziell fur den 
Datenschliissel-Datenspeicher 45, wie z.B. besonders restrik- 

20 tive Fire-Walls. 

Je nach Sicherheitsvorkehrungen kann das Datenf ernverbin- 
dungs-Mittel 47 uber einen geschiitzten oder einen ungeschutz- 
ten Kommunikationskanal verfligen. Aufterdem kann der Kommuni- 
■ jjjjps kationskanal des Datenf ernverbindungs-Mittels 47 komplett ge- 
sperrt sein und nur in Abhangigkeit vom Ergebnis der Sicher- 
heitsabfrage durch das Sicherheitsabf rage-Mittel 39 geoffnet 
werden; hierzu kann beispielsweise eine telefonische Modem- 
verbindung verwendet werden. 

30 

Je nach Organisation der mit der Datenverarbeitungseinrich- 
tung auszuf lihrenden Arbeiten konnen die verschiedenen Daten- 
speicher 37, 41, 43, 45 samtlich getrennt oder teilweise oder 
vollstandig zusammengef asst sein. Unter Verzicht auf den mo- 
35 dularen Aufbau mit einzelnen Datenspeichern und auf die ent- 
fernte Anordnung des Datenschlussel-Datenspeichers 45 konnen 
beispielsweise samtliche relevanten Daten in einem einzigen 
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lokalen Speicher der Datenverarbeitungseinrichtung 31, z.B. 
dessen Festplatte, abgelegt sein. Andererseits kann bei- 
spielsweise der Nut zer-Gruppen-Datenspeicher 43 in einer Ver- 
waltungsabteilung aufgestellt sein, die fur die Organisation 
der Arbeitsablauf e und die Zusaramenstellung der Nutzer- 
Gruppen zustandig ist, der Datenschliissel-Datenspeicher 45 
dagegen in einer Inf ormations-Technologieabteilung, die fur 
die Implementierung und Realisierung des Verschlusselungs- 
Systems zustandig ist und zuletzt der Nutzer-Datenspeicher 41 
in einer fur Personen-Daten zustandigen Ausweisstelle, die 
fur die Erfassung und Verif izierung personenspezif ischer Er- 
kennungs- oder Sicherheits-Daten zustandig ist. 

Wesentlich an der elektronischen Datenverarbeitungseinrich- 
tung zur Ausfiihrung der Erfindung ist lediglich, dass die Si- 
cherheitsabf rage durch das Sicherheitsabf rage-Mittel 39 kei- 
nen Riickschluss auf den Datenschliissel gestattet, den das 
Verschltisselungssystem zur Ver- und Entschliisselung von An- 
wendungs-Daten verwendet . Diese Trennung bildet die Grundlage 
dafur, dass ein Datenschliissel zur Ver- und Entschliisselung 
von Daten zuteilt werden kann, der sich dem direkten Zugriff 
des Nutzers entzieht und fur diesen nicht einsehbar ist. 
Stattdessen erhalt der Nutzer durch einen einzigen Anmelde- 
vorgang am System automatisch den oder die fur seine Gruppen- 
Zugehorigkeit definierten Datenschlussel zum Zugriff auf die 
verschliisselten Daten. 
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Patent anspruche 

1. Verfahren zum Ver- und Entschliisseln von Daten durch ver- 
schiedene Nutzer, bei dem einem Nutzer ein Datenschlussel zur 
5 Ver- und Entschltisselung von Daten zugeteilt wird, wobei in 
einem ersten Schritt (3) eine Sicherheitsabf rage zur Ermitt- 
lung der Identitat des Nutzers durchgefiihrt wird, wobei in 
einem zweiten Schritt (19) in Abhangigkeit vom Ergebnis der 
Sicherheitsabf rage ein ftir den Nutzer nicht einsehbarer Da- 
10 tenschllissel zuteilbar ist, und wobei verschiedenen Nutzern 
derselbe Datenschlussel zuteilbar ist. 



2. Verfahren nach Anspruch 1, 

dadurch gekennzeichnet, dass in der Si- 
15 cherheitsabf rage biometrische Daten des Nutzers abfragbar 
sind. 

3. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass in der 

20 Sicherheitsabf rage ein Nutzer-individueller elektronischer 
und/oder mechanischer Schlussel abfragbar ist. 

4. Verfahren nach Anspruch 2 oder 3, 

dadurch gekennzeichnet, dass der zu- 
/?525 zuteilende Datenschlussel durch Vergleich der in der Sicher- 



heitsabfrage erhaltenen Daten mit dem Inhalt eines Daten- 
schlussel-Speichers (45) ermittelbar ist. 

5. Verfahren nach Anspruch 4, 
30 dadurch gekennzeichnet, dass der Ver- 
gleich der in der Sicherheitsabf rage erhaltenen Daten mit dem 
Inhalt des Datenschlussel-Speichers (45) iiber ein Datenfern- 
verbindungs-Mittel (47) erfolgt. 





35 



6. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass einem Nut- 
zer mehrere Datenschlussel gleichzeitig zuteilbar sind. 
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7. Verfahren nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, dass die Daten 
medizinisch relevant sind, dass die Nutzer Fachpersonal an 
einer medizinischen Einrichtung sind, und dass die Nutzer- 

5 Gruppen entsprechend den Arbeits-Gruppen innerhalb des Fach- 
personals und/oder entsprechend den fachlichen Verantwort- 
lichkeiten gebildet werden. 

8. Elektronische Datenverarbeitungseinrichtung (31) zum Ver- 
0 und Entschltisseln von Daten, durch die einem Nutzer ein Da- 
tenschlussel zur Ver- und Entschlusselung von Daten zuteilbar 
ist, 

dadurch gekennzeichnet, dass die Daten- 
verarbeitungseinrichtung ( 31 ) ein S icherhe it sab f rage-Mi ttel 

5 (39) aufweist, durch das eine Sicherheitsabf rage zur Ermitt- 
lung der Identitat des Nutzers durchfuhrbar ist, dass durch 
die Datenverarbeitungseinrichtung (31) in Abhangigkeit vom 
Ergebnis dieser Sicherheitsabf rage ein fur den Nutzer nicht 
einsehbarer Datenschlussel zuteilbar ist, und dass durch die 

0 Datenverarbeitungseinrichtung (31) verschiedenen Nutzern der 
selbe Datenschlussel zuteilbar ist. 

9. Elektronische Datenverarbeitungseinrichtung (31) nach An- 
spruch 8, 

5 dadurch gekennzeichnet, dass durch das 
Sicherheitsabf rage-Mittel (39) biometrische Daten des Nutzers 
abfragbar sind, 

10. Elektronische Datenverarbeitungseinrichtung (31) nach An- 
0 spruch 8 oder 9, 

dadurch gekennzeichnet, dass durch das 
Sicherheitsabf rage-Mittel (39) ein Nutzer-individueller e- 
lektronischer und/oder mechanischer Schliissel abfragbar sind. 

5 11. Elektronische Datenverarbeitungseinrichtung (31) nach An- 
spruch 9 oder 10, 
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dadurch gekennzeichnet, dass die Daten- 
verarbeitungseinrichtung (31) Zugriff auf einen Datenschlus- 
sel-Speicher (45) hat, urn den zuzuteilenden Datenschlussel 
durch Vergleich der durch die Sicherheitsabf rage erhaltenen 
5 Daten mit dem Inhalt des Datenschlussel-Speichers (45) zu er- 
mitteln. 

12. Elektronische Datenverarbeitungseinrichtung (31) nach An- 
spruch 11, 

0 dadurch gekennzeichnet, dass der Daten- 
schllissel-Speicher (45) von der Datenverarbeitungseinrichtung 
(31) entfernt angeordnet ist, und dass die Datenverarbei- 
tungseinrichtung (31) uber ein Datenf ernverbindungs-Mittel 
(47) Zugriff auf den Datenschlussel-Speicher (45) hat. 

5 

13. Elektronische Datenverarbeitungseinrichtung (31) nach An- 
spruch 8, 9, 10, 11 oder 12, 

dadurch gekennzeichnet, dass die Daten- 
verarbeitungseinrichtung (31) ein medizinischer Arbeitsplatz 
0 zur Bearbeitung medizinisch relevanter Daten ist. 

14. Speichermedium, auf dem Information gespeichert ist, die 
in Wechselwirkung mit einer Datenverarbeitungseinrichtung 
(31) treten kann, urn das Verfahren nach einem der Anspriiche 1 

5 bis 7 auszufiihren. 
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Zus ammenf as sung 

Verfahren zum Ver- und Entschltisseln von Daten durch ver- 
schiedene Nutzer 

5 

Die Erfindung betrifft ein Verfahren zum Ver- und Entschlus- 
seln von Daten durch verschiedene Nutzer, bei dem einem Nut- 
zer ein Datenschlussel zur Ver- und Entschlusselung von Daten 
zugeteilt wird. Die Erfindung betrifft auUerdem eine Daten- 

0 verarbeitungseinrichtung (31) zur Ausfiihrung des Verfahrens 
und ein Speichermedium, auf dem Information zur Ausfiihrung 
des Verfahrens auf einer Datenverarbeitungseinrichtung ge- 
speichert ist. Gemali der Erfindung wird in einem ersten 
Schritt (3) eine Sicherheitsabf rage zur Ermittlung der Iden- 

5 titat des Nutzers durchgefuhrt wird. In einem zweiten Schritt 
(19) wird in Abhangigkeit vom Ergebnis der Sicherheitsabf rage 
ein fur den Nutzer nicht einsehbarer Datenschlussel zuge- 
teilt. Dabei kann verschiedenen Nutzern, die z.B. einer ge- 
meinsamen Nutzer-Gruppe zuordenbar (13) sind, derselbe Daten- 

0 schliissel zugeteilt werden. 
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